2017年12月20日、日本航空が取引先を装ったメールにだまされ、3億8,000万円以上を振り込んだというニュースが報道されました。航空機1機と3ヵ月分のリース料、貨物業務の委託料として、前述の金額をメールで指定された香港の銀行口座に送金したとのことです。
日航3.8億円詐欺被害=偽メール指示で送金
これがまさに独立行政法人 情報処理推進機構(IPA)が、この3年間、組織に対して最も脅威であると警告していた標的型のサイバー攻撃です。なりすましというソーシャルエンジニアリングを駆使した手口をもちい、攻撃を受けた企業に、結果的に多大な被害が出てしまいました。
このケースは、手口が巧妙極まりなく、どんな担当者でも騙されてしまいかねないくらいのものでした。
実際に日本航空が受けた攻撃は、「ビジネスメール詐欺(BEC=Business E-mail Compromise)」という攻撃です。ビジネスメール詐欺とは、巧妙に加工したメールのやりとりにより、企業担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。2017年2月には日本でも逮捕者が出たと報道がありました。
メールをハッキング、詐欺容疑などでナイジェリア人逮捕
報道によると、被害金額3億8,000万円は大きく2件の送金に分類されますが、日本航空が騙されて送金した手口はこうです。
旅客機リース料、約3億6,000万円の被害
・ 2017年9月、支払先である海外の金融会社の担当者になりすました偽の請求書が届いた。
・ リース料の振込先の口座が香港の銀行に変更された、などと記されていた。
・ 日本航空の担当者は、指示通りの口座に振り込んだ。
・ 振込後、全額が引き出されて回収不能になった。
地上業務委託料、約2,400万円の被害
・2017年8月、貨物の業務委託料について日本航空のアメリカある貨物事業所に支払先口座の変更を伝えるメールが届いた。
・日本航空の担当者は、変更された香港の銀行口座へ、2回にわたり合計約2,400万円を振り込んだ。
上記2件で恐ろしい点は、
・リース料、地上業務委託料とも、それぞれ架空の請求ではなく、日本航空が実際に払わなければならない請求だった。
・日本航空の担当者と、金融機関側の担当者とメールでやり取りした直後に、金融機関側の担当者をかたったメールが届き、「訂正版」として偽の請求書が送られてきた。
・金融機関側の担当者をかたったメールのアドレスは、正規の金融機関の担当者のメールアドレスと1文字違いで見分けが困難だった。
・請求書のフォーマットも先に正規で送られてきた請求書と、レイアウト、ファイル形式(PDF)ともにほぼ同じだった。
